ISO27001 信息安全管理體系認證

一、概述

基本介紹

      隨著以計算機和網絡通信為代表的信息技術(IT)的迅猛發展,政府部門、金融機構、企事業單位和商業組織對IT 系統的依賴也日益加重,信息技術幾乎滲透到了世界各地和社會生活的方方面面。對信息加以保護,防范信息的損壞和泄露,已成為當前組織迫切需要解決的問題。組織需要一個系統的、整體規劃的信息安全管理體系,從預防控制的角度出發,保障組織信息系統與業務的安全與正常運作。
      《信息技術 安全技術 信息安全管理體系要求》(ISO/IEC 27001)是目前世界上應用最廣泛與典型的信息安全管理標準。ISO/IEC 27001的目的是有效保護信息資源,保護信息化進程健康、有序、可持續發展。

標準特點

1、針對安全策略和信息安全的組織工作;
2、關注資產管理、人力資源安全的系統性管理;
3、關注物理和環境安全:定義安全區域,保護設備安全等;
4、涉及通信和操作的管理:制定操作規程和職責,確保信息處理設備的正確和安全操作等;
5、對訪問控制進行管理,并關注數據采集和開發維護層面的信息安全;
6、重點關注信息安全事故管理和業務連續性管理。

實施意義

1、通過定義、評估和控制風險,確保經營的持續性和能力;
2、減少由于合同違規行為以及直接觸犯法律法規要求所造成的責任;
3、通過遵守國際標準提高企業競爭能力,提升企業形象;
4、明確定義所有組織的內部和外部的信息接口目標:謹防數據的誤用和丟失;
5、建立安全工具使用方針;
6、謹防技術訣竅的丟失;
7、在組織內部增強安全意識;
8、可作為公共會計審計的證據。
依據ISO/IEC 27001標準,已建立并運行信息安全管理體系的組織均可申請認證,申請時應提供下列文件資料:

1
組織法律地位證明文件復印件(如營業執照等)
2
獲得保密主管部門頒發保密資質的,需提供
3
組織機構圖
4
管理體系手冊和程序文件(包括方針、目標)
5
生產工藝流程圖或業務流程圖
6
行業資質證書(3C認證證書、電信經營許可證、工業產品生產許可證、安全生產許可證、衛生許可證、食品QS標志認證證書等)
7
為政府部門提供信息技術外包服務的機構或組織若其認證范圍涉及政府信息,須提供經工業和信息化主管部門同意的通知文件方可受理,否則認證范圍不能涉及政府信息
8
通信、金融、鐵路、民航、電力等基礎信息網絡和重要信息系統運營單位應提交事先報行業主管或監管部門同意的文件,其他涉及國計民生的國有企業提交事先報國有資產監督管理部門同意的文件,涉及國家秘密的應提交報保密行政管理部門同意的文件
9
申請認證范圍多場所活動清單(場所位置、員工人數、已注冊的場所)
10
內審報告與管理評審報告(必要時)
11
管理體系文件(包括適用性聲明、信息安全風險準則)
12
重大信息安全風險清單
13風險評估報告和信息安全風險處置計劃
14范圍內的IT基本設備的描述;(見附件一)
15包括在范圍內的應用信息系統的描述;(見附件一)
16
運行控制規程清單(如:信息標記規程、資產處理規程、信息傳輸策略和規程、變更規程、軟件安裝控制規程、維護系統安全工程的原則、信息安全事件響應規程、實現信息安全連續性的維護規程等)
17信息安全邊界平面圖
18來自于合同或其他來源的附加標準

管理體系認證流程

歡迎咨詢

歡迎向我們咨詢相關產品和服務

請稍候
聯系電話
咨詢電話
0571-87711612
證后支持
0571-87711612


延伸閱讀